Aktuelles, Branche, Studien - geschrieben von dp am Samstag, Juli 11, 2020 12:45 - noch keine Kommentare
Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken
Gerald Beuchelt plädiert für zielgruppenorientierte regelmäßige Vermittlung von Grundlagen der IT-Sicherheit
[datensicherheit.de, 11.07.2020] IT-Sicherheit im sogenannten Home-Office ist ein aktuelles Thema – und wird es wohl auch nach „Corona“ bleiben, denn viele Unternehmen und Mitarbeiter haben offensichtlich die Vorteile dieser Arbeitsweise entdeckt. Grundsätzlich benötigt wird „neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Sicherheitskultur für digitales Arbeiten“, betont Gerald Beuchelt, „Chief Security Officer“ von LogMeIn, und gibt hierzu nachfolgend Tipps aus der Praxis, wie Unternehmen ein IT-Sicherheitsbewusstsein entwickeln und erfolgreich halten können. Fernarbeit sei bei LogMeIn nicht erst seit „Corona“ an der Tagesordnung – die Hinweise ließen sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern, übertragen.
Gerald Beuchelt: Neben sicherer IT-Infrastruktur und Zugriffsrechten auch passende IT-Sicherheitskultur für digitales Arbeiten!
Digitalisierung bringt nicht nur Vorteile, sondern ermöglicht Lücken in der IT-Sicherheit
Die Digitalisierung bringe nicht nur Vorteile, sie ermögliche auch Sicherheitslücken – „der menschliche Faktor ist dabei zum höchsten Risiko geworden“. Obwohl Mitarbeiter sich Cyber-Risiken durchaus bewusst seien und Cyber-Sicherheit verstünden, „unternehmen sie nicht die notwendigen Schritte, um ihre persönlichen oder Arbeitsdaten zu sichern“. Das habe kürzlich der dritte globale Report „Psychologie der Passwörter“ von LastPass offenbart. Tatsächlich wüssten 94 Prozent der Befragten aus Deutschland, „dass die Wiederverwendung eines Kennworts unsicher ist, aber überwältigende 66 Prozent verwenden immer noch dasselbe Kennwort“.
Durch diese Denkweise und die Freiheit, wo und wie der Mitarbeiter arbeitet, in Kombination mit der Vermischung privat wie beruflich genutzter Devices und Apps, blieben Unternehmen angreifbar. Die Schaffung einer IT-Sicherheitskultur sei also unerlässlich für den erfolgreichen Fortbestand jedes Unternehmens.
Kultur der IT-Sicherheit ohne Hierarchie-Ebenen
IT-Sicherheit könne nicht erfolgreich umgesetzt werden, „wenn nicht alle Beteiligten an Bord sind“. Das müsse jedem Unternehmen und der Geschäftsleitung bewusst sein. Es brauche eine gemeinsame Anstrengung, die alle Hierarchieebenen gleichermaßen einbeziehe. Jeder einzelne im Unternehmen müsse sich an die IT-Sicherheitsziele und -richtlinien halten und sie verstehen.
Beuchelt: „Das Top-Management geht dabei mit gutem Beispiel voran, damit Sicherheit nachhaltig Erfolg hat. Das Security- oder IT-Team ist dabei für die multidirektionale Kommunikation des Sicherheitsprogramms zuständig. Das heißt, es arbeitet hierarchisch gesehen von oben nach unten, von unten nach oben und von einer Abteilung zur anderen, um die Leitlinien zu vermitteln.“
Höheres Bewusstsein für IT-Sicherheit schenkt Freiheit
Mitarbeiter müssten IT-Sicherheit als „Enabler“ oder gar Produktmerkmal betrachten – sie bei neuen IT-Sicherheitssystemen, -konzepten und -richtlinien vor vollendete Tatsachen zu stellen, fördere dagegen nur Argwohn und Unverständnis.
Aufklärung und Transparenz seien die Lösung für einen nachhaltigen „Change-Prozess“. Es gelte, die Mitarbeiter in Verantwortung zu nehmen, ihnen auf Augenhöhe zu begegnen – und ihnen klar zu machen, „dass sie durch ein höheres Sicherheitsbewusstsein Freiheit gewinnen, nicht verlieren“.
Generationsgerechte Schulungen und Materialien für IT-Sicherheit
Jeder Mensch lerne dabei anders: Einige seien empfänglicher für visuelle oder auditive Inhalte, andere präferierten praxisorientierte Ansätze, lustige oder ernsthafte Lerninhalte. Trotz dieser Differenzen sei die Bereitstellung einer konsistenten Kommunikation der Schlüssel zu einem starken Bewusstsein.
Unternehmen sollten sich dabei darauf fokussieren, IT-Sicherheitsschulungen und -materialien generationsgerecht auf verschiedenen Kanälen bereitzustellen, um jeden Lerntypus unter den Mitarbeitern zu erreichen. „Zudem hilft es, Mitarbeiter beispielsweise bei Videoproduktionen und Wettbewerben frühzeitig einzubeziehen“, betont Beuchelt.
IT-Sicherheit spielerisch vermitteln
Richtlinien ließen sich durch Schulungen und regelmäßige Trainings in den Köpfen der Mitarbeiter verankern und auffrischen. Am besten geschehe dies spielerisch durch sogenanntes Storytelling in Form kleiner Filme, welche Bedrohungsszenarien wiedergäben – „mit einem kurzen abschließenden Test, der den Lerninhalt bei den Mitarbeitern abfragt“.
Auch „Escape-Rooms“ seien eine moderne spielerische Form, um IT-Sicherheitswissen zu testen. „Darin werden Mitarbeiter mit Sicherheitslücken konfrontiert, die nur durch richtiges Handeln gestopft werden können. Erst dann öffnete sich wieder die Tür. Diese lassen sich nicht nur im Büro, sondern auch virtuell umsetzen. Hinter der letzten ,Tür‘ wartet dann nicht die ,Freiheit‘, sondern ein digitales Feuerwerk mit Urkunde“, erläutert Beuchelt.
IT-Sicherheit: Kein Einmal-Projekt, sondern fortlaufender Prozess!
„Eine einmalige Sicherheitsschulung – wenn diese auch flächendeckend durchgeführt wird – bleibt nicht im Gedächtnis haften. Die Erschaffung und Aufrechterhaltung einer Sicherheitskultur ist eine sich ständig weiterentwickelnde Mission“, betont Beuchelt.
Aufklärung und Schulungen zu aktuellen Bedrohungen und Sicherheitsrichtlinien sollten nicht die Ausnahme, sondern die Regel werden, fordert der „Chief Information Security Officer“ bei LogMeIn, nach eigenen Angaben verantwortlich für das gesamte Sicherheits-, Compliance- und technische Datenschutzprogramm des Unternehmens. Mit mehr als 20 Jahren Erfahrung im Bereich Informationssicherheit sei er Mitglied des „Board of Directors“ und „IT-Sector Chief“ für den Bostoner Ortsverband von InfraGard.
Weitere Informationen zum Thema:
LastPass… by LogMeIn
Psychologie der Passwörter / Riskante Verhaltensmuster im Internet
datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices
Aktuelles, Experten - Nov 26, 2024 18:18 - noch keine Kommentare
Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
weitere Beiträge in Experten
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
- Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
Aktuelles, Branche - Nov 26, 2024 18:29 - noch keine Kommentare
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
weitere Beiträge in Branche
- Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit
- Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren